Core Concepts
Durch den Einsatz von Honeypots in strategischen Positionen im Active Directory-Netzwerk kann die Reaktionszeit auf Cyberangriffe maximiert werden, um IT-Administratoren mehr Zeit zur Reaktion und Eindämmung des Angriffs zu geben.
Abstract
Der Artikel untersucht das Problem der Platzierung von Honeypots in zeitabhängigen Active Directory-Netzwerken, um potenzielle Angriffe frühzeitig zu erkennen. Das Modell wird als Stackelberg-Spiel zwischen einem Angreifer und einem Verteidiger dargestellt, wobei der Verteidiger Honeypots an strategischen Stellen im Netzwerk platziert, um die Reaktionszeit auf den Angriff zu maximieren.
Der Artikel beginnt mit einer Einführung in die Dynamik von Active Directory-Netzwerken und die Herausforderungen, die sich daraus für die Verteidigung ergeben. Im Gegensatz zu früheren Arbeiten, die statische Netzwerke betrachten, wird hier ein zeitabhängiges Modell verwendet, um die Identitäts-Schneeball-Angriffe realistischer abzubilden.
Der Kern des Beitrags ist die Formulierung des Verteidigungsproblems als kombinatorisches Optimierungsproblem, bei dem der Verteidiger die Platzierung der Honeypots so wählt, dass die Reaktionszeit auf den schlimmstmöglichen Angriffsweg maximiert wird. Es wird gezeigt, dass dieses Problem NP-hart ist, was zur Entwicklung von Evolutionary Diversity Optimization (EDO)-Algorithmen führt.
Um die Skalierbarkeit der EDO-Algorithmen zu verbessern, werden zwei Ansätze vorgestellt:
Ein Reparaturmechanismus, der auf ganzzahliger linearer Programmierung basiert, um infeasible Lösungen zu korrigieren.
Eine surrogatbasierte und strafbasierte Reparaturmethode, die eine leichtgewichtige Fitnessfunktion verwendet, um die Konvergenz zu beschleunigen.
Abschließend werden die Ergebnisse der Experimente präsentiert, die zeigen, dass die vorgeschlagenen Verbesserungen die Leistungsfähigkeit der EDO-Algorithmen deutlich steigern.
Stats
Laut einem Bericht von Microsoft gab es im Jahr 2023 monatlich 30 Milliarden versuchte Passwortangriffe auf Active Directory-Konten.
Quotes
"Active Directory ist Microsofts Identitäts- und Zugriffsverwaltungssystem, das für Windows-Domänennetzwerke entwickelt wurde. Es wird in vielen Unternehmen und Behörden eingesetzt und ist daher ein Hauptziel für viele Cyber-Gegner."
"Wir modellieren unser Problem als ein zweiseitiges Stackelberg-Spiel-Modell mit einer reinen Strategie."